А выставить highload только на siem server будет правильно ?
Если цель включить хранение сырых, то highload надо отключить на SIEM Server.
История про 4 дата ноды это когда у Вас поток выше 30к и эластик не тянет, а опертива в запасе ещё есть. Если нет 256 ГБ оперативы, то в 4х датанодах не вижу смысла.
Если цель включить хранение сырых, то highload надо отключить на SIEM Server.
История про 4 дата ноды это когда у Вас поток выше 30к и эластик не тянет, а опертива в запасе ещё есть. Если нет 256 ГБ оперативы, то в 4х датанодах не вижу смысла.
hiload на storage играет роль в количестве датанод. на siem - только на количество шардов в индексах
Также есть забавный момнент - на одну датаноду можно дать в идеале макс 30 гигов (2 гига как запас чтобы при влете нехватки памяти на индексы рековернутся)
так что если 128 гигов памяти, то юзать 4 датанодв по 20 гигов хипа вполне здоровое решение для увеличения доступных для хранения в оперативном доступе данных
так что если 128 гигов памяти, то юзать 4 датанодв по 20 гигов хипа вполне здоровое решение для увеличения доступных для хранения в оперативном доступе данных
Не совсем так-не останется на файловый кеш. А на него рекомендуется таки оставить 50% RAM
В описанной ситуации когда индесы не влезают у эластика этим можно принебречь
Ок, наверно я пропустил момент, где индексы в память не влезли. Но в этом случае тоже лучше решать сами проблемы с нехваткой памяти (удалением/архивированием и т.д.) а не отодвигать их.
так что если 128 гигов памяти, то юзать 4 датанодв по 20 гигов хипа вполне здоровое решение для увеличения доступных для хранения в оперативном доступе данных
На сколько это помогает увеличить глубину хранения данных? На мой взгляд, такое решение аналогично принебрежению лимиту hs 30 ГБ на ноду.